Egy PWA egy olyan keresztplatformos alkalmazás, amely közvetlenül a böngészőből telepíthető. Olyan funkciókkal kínál natívhoz hasonló élményt, mint a push-értesítések, az eszköz hardveréhez való hozzáférés és a háttérben zajló adatszinkronizálás.
Az ilyen típusú alkalmazások használata az adathalász kampányokban lehetővé teszi a felderítés és az alkalmazások telepítési korlátozásainak megkerülését. Illetve a kockázatos engedélyekhez való hozzáférés igénylésének elkerülését az eszközön. A technikát először 2023 júliusában figyelték meg Lengyelországban és novemberben Csehországban.
Az OTP Bank is érintett
Az ESET kiberbiztonsági vállalat jelentése szerint jelenleg két különböző, erre a technikára támaszkodó kampányt követ nyomon. Az egyik a magyarországi OTP Bank pénzintézetet veszi célba. Minden jel arra utal, hogy a két kampányt különböző fenyegetettségi szereplők működtetik. Az egyik egy különálló C2 infrastruktúrát használ az ellopott hitelesítő adatok fogadására, míg a másik csoport a Telegramon keresztül naplózza az ellopott adatokat.
Az ESET szerint a támadók olyan módszereket használnak, mint az automatizált hívások, SMS-üzenetek (smishing) és a Facebook-hirdetési kampányokban jól kidolgozott rosszindulatú hirdetések.
Az első két esetben a kiberbűnözők egy hamis üzenettel csapják be a felhasználókat azzal, hogy a banki alkalmazásuk elavult, és biztonsági okokból a legújabb verziót kell telepíteniük, és egy URL-t adnak meg az adathalász PWA letöltéséhez.
Előszeretettel használják a közösségi médiát
A közösségi médiában megjelenő rosszindulatú hirdetések esetében az aktorok a megszemélyesített bank hivatalos kabalafiguráját használják arra, hogy a legitimitás érzetét keltsék, és korlátozott idejű ajánlatokat, például pénzjutalmat népszerűsítsenek egy állítólag kritikus fontosságú alkalmazásfrissítés telepítéséért.
Az eszköztől függően (a User-Agent HTTP fejléc segítségével ellenőrizve) a hirdetésre kattintva az áldozat egy hamis Google Play vagy App Store oldalra jut.
A „Telepítés” gombra kattintva a felhasználó egy rosszindulatú, banki alkalmazásnak álcázott PWA telepítését indítja el. Androidon egyes esetekben a rosszindulatú alkalmazás WebAPK – a Chrome böngésző által generált natív APK – formájában települ.
Az adathalász alkalmazás a hivatalos banki alkalmazás azonosítóit használja (pl. logó, legitimnek tűnő bejelentkezési képernyő), és még a Google Play Store-t is az alkalmazás szoftverforrásaként tünteti fel.
A BleepingComputer felvette a kapcsolatot a Google-lal és az Apple-lel, hogy megkérdezze, terveznek-e valamilyen védelmet a PWA-k/WebAPK-k ellen, de a cikk megírásáig nem érkezett válasz.
(Forrás: NKI | Kép: pxhere/Mohamed Hassan)